IS220PAICH1A  深入基础设施寻找潜在的漏洞

IS220PAICH1A  深入基础设施寻找潜在的漏洞

• 评估资产低可见性的风险——电厂会随着时间的推移而发展，就像开头例子中的PLC一样，许多电厂不擅长记录变更，也不会深入基础设施寻找潜在的漏洞。

• 降低风险和确定投资优先级—当公司对其生产运营技术资产缺乏了解时，很难预测安全性需要多少投资或应该从哪里着手。此外，也不可能知道这项工作降低了多少风险。

• 跟上行业标准—实施对策并继续遵守新兴标准是一项挑战。稍后会有更多的介绍。

• 利用有限的OT安全专业知识管理风险——尽管安全措施的实施和管理必须贯穿电厂的整个生命周期(持续20多年),但安全团队经常面临安全人员和专业知识的缺乏。

有两种降低风险的一般方法。基于成熟度的方法构建了最高级别的防御。它是最全面的，但非常昂贵。基于风险的方法优化防御层，在最需要的地方降低风险。这牺牲了一些覆盖面，但成本低得多，更容易实现，因此更有可能发生。
 

• 确定安全基线:第一步是风险评估，以识别风险并使OT安全风险承担者理解基线。了解电厂的当前状态是根本，也是安全之旅的起点。

• 从整体角度定义风险:风险来自许多不同的方向和类别，因此只关注高级业务流程的风险评估可能会由于技术实现中的缺陷而无法识别风险。董事会中定义不充分的安全领导是一种风险，但配置不良的防火墙也是一种风险。因此，重要的是要有一个足够广泛的范围，包括组织的不同部分。此外，书面审查与现场技术评估的结合对于全面的风险评估至关重要。

*博客内容为网友个人发布，仅代表博主个人观点，如有侵权请联系工作人员删除。